94/2009. (XI. 27.) HM utasítás
94/2009. (XI. 27.) HM utasítás
a honvédelmi tárca információbiztonság politikájáról
A honvédelemről és a Magyar Honvédségről szóló 2004. évi CV. törvény 52. §-a (1) bekezdésének f) pontja alapján az alábbi utasítást adom ki:
Általános rendelkezések
1. § (1) Az utasítás hatálya a Honvédelmi Minisztériumra, a honvédelmi miniszter közvetlen alárendeltségébe, közvetlen és fenntartói irányítása, valamint felügyelete alá tartozó szervezetekre, továbbá a Magyar Honvédség (a továbbiakban: MH) katonai szervezeteire (a továbbiakban együtt: honvédelmi szervezet) terjed ki.
(2) A katonai nemzetbiztonsági szolgálatok főigazgatói ezen utasításban foglaltakra figyelemmel szabályozzák a hatáskörükbe tartozó információvédelmi feladatok ellátásának rendjét.
2. § Ezen utasítás alkalmazásában:
a) adat: olyan értelmezhető, de nem értelmezett ismeret, amely az információt ábrázolja;
b) adatkezelés: az alkalmazott eljárástól függetlenül az adatokon végzett bármely művelet, vagy műveletek összessége, különösen gyűjtés, felvétel, rögzítés, rendszerezés, tárolás, megváltoztatás, felhasználás, továbbítás, nyilvánosságra hozatal, összehangolás vagy összekapcsolás, zárolás, törlés és megsemmisítés, az adatok további felhasználásának megakadályozása, továbbá fénykép-, hang-, képfelvétel, vagy mikrofilm készítése, valamely személy azonosítására alkalmas fizikai jellemzők rögzítése;
c) adatkezelő rendszer: a papír alapú vagy elektronikus adatok kezeléséhez szükséges infrastruktúrák, eszközök, alkalmazások, eljárások, közreműködő személyek összehangolt együttese;
d) adatkezelő rendszer akkreditálása: az adatkezeléshez szükséges jogszabályban vagy NATO-, EU-követelményekben meghatározott védelmi rendszabályok meglétének, alkalmazásának hivatalos elismerése és igazolása nemzeti hatóság vagy NATO-, EU-szervezet által;
e) adatkezelő rendszer auditálása: az adatkezelés meghatározott szabvány ajánlása szerinti védelmi rendszabályok meglétének, alkalmazásának elismerése és igazolása;
f) adatkezelő rendszer jóváhagyása: akkreditálásra vagy auditálásra nem kötelezett adatkezelő rendszer honvédelmi tárcán belüli szervezet által történő adatkezelésre történő feljogosítása;
g) biztonsági osztály: a védelmi rendszabályok meghatározására szolgáló, az adatok bizalmassághoz igazodó besorolás;
h) információbiztonsági cél: a kezelt adatok bizalmasságának, sértetlenségének és rendelkezésre állásának, valamint az adatkezelő rendszer sértetlenségének és rendelkezésre állásának biztosítása;
i) elektronikus információvédelmi felügyelő: a honvédelmi szervezetnél a vonatkozó Közigazgatási Informatikai Bizottság ajánlása szerint az elektronikus információbiztonsági követelmények meghatározásáért és az elektronikus információvédelmi rendszabályok kialakításáért és alkalmazásáért felelős személy, aki egyszerű esetben elláthatja a rendszerbiztonsági felelős feladatait is;
j) helyi biztonsági dokumentum: az adatkezelő helyszínre vonatkozó egyedi védelmi rendszabályokat tartalmazó belső rendelkezése;
k) információbiztonság: a papír alapú, vagy elektronikus adatkezelés vonatkozásában védelmi rendszabályok alkalmazásával elérni kívánt állapot, amely személyi, fizikai, dokumentum- és elektronikusinformáció-biztonsági szakterületekből áll;
l) információbiztonsági követelmény: a kockázatelemzés alapján meghatározott, az információbiztonsági célok elérésére irányuló elvárás;
m) információvédelem: azoknak a tevékenységeknek és rendszabályoknak az összessége, melyek eredményeképpen megvalósul a szükséges mértékű információbiztonság;
n) kockázat: egy esemény valószínűségének és következményeinek együttese;
o) maradványkockázat: a kockázatkezelés után még fennmaradó, az adatkezelő rendszerért felelős honvédelmi szervezet vezetője által jóváhagyott, védelmi rendszabályokkal nem ellensúlyozott kockázat.
p) kockázatkezelés: az adatkezelésre irányuló fenyegetés és sebezhetőség, valamint az adatok és adatkezelő képességek felmérésének, elemzésének, értékelésének, a szükséges védelmi rendszabályok és maradványkockázat azonosításának és jóváhagyásának folyamata;
q) kompromittáló kisugárzás elleni védelmi felelős: bizalmas, vagy magasabb minősítési szintű elektronikus adatkezelésnél a kompromittáló kisugárzás elleni védelmi szakfeladatokért felelős személy, egyszerűbb esetben a rendszerbiztonsági felelős, védett létesítmények, nagy eszközszámú tábori kommunikációs rendszereknél más önálló beosztású, vagy megbízású személy;
r) rendszerbiztonsági felelős: adatkezelő rendszer elektronikusinformáció-védelmi szakfeladataiért felelős, az elektronikus információvédelmi felügyelő szakmai alárendeltségébe tartozó személy,
s) rendszerspecifikus biztonsági dokumentum: adatkezelő rendszerre vonatkozó egyedi védelmi rendszabályokat tartalmazó belső rendelkezés.
3. § (1) A honvédelmi tárca információbiztonság-politikájának célja a honvédelmi szervezeteknél történő adatkezelés biztonságára vonatkozó irányelvek, általános követelmények meghatározása.
(2) Az információvédelem szakterületét érintő doktrínákat, szakterületi stratégiákat és egyéb belső rendelkezéseket, a honvédelmi szervezetek állandó működési eljárásait ezen utasítás követelményeivel összhangban kell elkészíteni.
(3) Az állandó telepítésű adatkezelő rendszereket, gyakorlatok, konferenciák és egyéb rendezvények rendszereit ezen utasítással összhangban kell tervezni, fejleszteni, beszerezni, tesztelni, üzembe helyezni, üzemeltetni, illetve megszüntetni.
(4) A külföldön szolgálatot teljesítő honvédelmi szervezetek információvédelmi rendszabályait ezen utasítás, valamint az illetékes elöljáró követelményei alapján kell kialakítani.
(5) Honvédelmi szervezettel szerződéses kapcsolatban álló személyek esetében a szükséges információvédelmi rendszabályok szerződésben történő előkészítéséről a honvédelmi szervezet vezetője köteles gondoskodni.
Információbiztonsági célok és alapelvek
4. § (1) A kezelt adatok, adatkezelő rendszerek információbiztonsági céljait a biztonsági alapelvek, és védelmi rendszabályok alkalmazásával kell megvalósítani. Ennek során
a) a kezelt adatok jogosulatlan személy vagy alkalmazás számára nem válhatnak megismerhetővé,
b) a kezelt adatoknak pontosaknak, valamint rögzítési vagy keletkezési állapotukkal azonosaknak kell lenniük,
c) biztosítani kell, hogy a szükséges adatok az arra feljogosított személyek számára a megfelelő időben, formában és tartalommal hozzáférhetővé váljanak.
(2) Az információbiztonsági célok megvalósulásáért kockázattal arányos biztonsági eljárásokat kell kialakítani a hitelesség, számonkérhetőség, letagadhatatlanság és a megbízhatóság érdekében.
(3) Az adatkezelő rendszerek kötelezően érvényesülő alapelveiként
a) biztosítani kell, hogy az adatkezelő rendszer kialakítása, üzemeltetési folyamatai és eljárásai megfeleljenek a jogszabályi követelményeknek;
b) az adatkezelő képességekre vonatkozó biztonsági követelményeket a kockázatelemzés eredményét figyelembe véve, a rendszertervezés legkorábbi szakaszában meg kell jeleníteni, és azokat a rendszer kialakítása során be kell dolgozni a feladatok közé;
c) hozzáférés csak olyan adatokhoz, adatkezelő szolgáltatásokhoz és ehhez kapcsolódó infrastruktúrához engedélyezhető, amire az adott személy érvényes jogosultsággal rendelkezik;
d) az adatokhoz történő és a rendszerszintű hozzáférés elszámoltathatósága céljából szükséges mértékben hitelesített folyamatokat kell kialakítani;
e) a rendszerszintű hozzáférések számát a lehető legalacsonyabb szinten kell tartani;
f) adatkezelő rendszer csak a feladatok ellátásához szükséges szolgáltatásokat biztosíthat;
g) adatkezelő rendszer használatba vételére csak előre definiált jóváhagyási vagy akkreditálási, engedélyezési eljárás után kerülhet sor;
h) adatkezelő rendszer üzemeltetése során változtatásokra csak a biztonsági hatások vizsgálata után, előírt szintű engedélyhez kötötten kerülhet sor;
i) a kockázatkezelést az adatkezelő rendszer teljes életciklusa alatt kell végezni, a védelmi rendszabályok hatékonyságának ellenőrzését az adatkezelő rendszer sajátosságainak megfelelően időszakonként meg kell ismételni;
j) az elektronikus adatkezelő rendszer kritikusnak tekinthető elemei, az operációs rendszerek és a biztonsági funkciót megvalósító eszközök, programok csak a rendszer besorolásának megfelelő tanúsított termékek lehetnek;
k) az elektronikus adatkezelő rendszer külső csatlakozási pontjait olyan mechanizmusoknak kell védenie, amelyek megakadályozzák, illetve jelzik az illetéktelen behatolást, vagy annak kísérletét, és támogatják a hatékony válaszreakciókat;
l) az elektronikus adatkezelő rendszer külső kapcsolatait a védelmi mechanizmusokkal ellátott csatlakozási, belépési pontokon keresztül, a védelmi rendszabályoknak megfelelően kell kialakítani;
m) elektronikus adatkezelő rendszer szabványos eszközöket, alkalmazásokat tartalmazhat, üzemeltetése szabványos eljárásokon alapulhat;
n) a fejlesztésre, tesztelésre és képzésre használt adatkezelő infrastruktúrákat, adatokat a honvédelmi szervezetek működését és vezetését támogató adatkezelő rendszerektől megfelelően el kell különíteni, és a kezelt adatok biztonsági osztályának megfelelően kell kezelni;
o) adatkezelő rendszerek üzemeltetése során a biztonságra hatással lévő eseteket ki kell vizsgálni, a tapasztalatok alapján az adatkezelő rendszert akkreditáló hatóság vagy jóváhagyó szervezet vezetőjének engedélyével az adatkezelő rendszer szükséges módosítását el kell végezni, és ennek megfelelően módosítani kell a vonatkozó belső rendelkezéseket.
Vezetői feladatok
5. § (1) Az adat, adatkezelő rendszerek szolgáltatást alkalmazó honvédelmi szervezeten belüli védelméért a honvédelmi szervezet vezetője a felelős.
(2) A titokvédelmi felügyelő, illetve biztonsági megbízott a honvédelmi szervezet vezetőjének átruházott hatáskörében, illetve felhatalmazása alapján eljárva utasítási joggal gyakorolja az őt megbízó vezető titokvédelmi jogosítványait, így különösen ellátja a minősített adatok védelmére vonatkozó jogszabályokban és rendelkezésekben meghatározott előírások alkalmazásának felügyeletét.
(3) Az elektronikus információvédelmi felügyelő, illetve informatikai biztonsági felügyelő a honvédelmi szervezet vezetője által kijelölt személy, aki a titokvédelmi felügyelő, illetve biztonsági megbízott intézkedése szerint, az adatvédelmi felelőssel együttműködve felel – a rejtjeltevékenység kivételével – az elektronikusinformáció-biztonsági követelmények és az ezek megvalósítására irányuló védelmi rendszabályok, belső rendelkezések előkészítéséért, és rendszeres ellenőrzéséért.
(4) A honvédelmi szervezet vezetője által kijelölt, az iratkezelés felügyeletével megbízott vezető intézkedési joggal gyakorolja a nyílt iratok jogszabályokban, illetve rendelkezésekben meghatározott iratkezelési szabályai felügyeletét.
(5) A személyes adatok védelmére vonatkozó jogszabállyal összhangban az adatkezelő, illetőleg az adatfeldolgozó honvédelmi szervezeten belül, közvetlenül a honvédelmi szervezet vezetőjének felügyelete alá tartozó adatvédelmi felelőst kell kinevezni vagy megbízni.
(6) A minősített adatok rejtjelezéssel történő védelme érdekében a honvédelmi szervezetnél a rejtjelező tevékenység mértékének és a helyi sajátosságoknak megfelelő rejtjelfelügyeletet kell működtetni. A rejtjelfelügyelet vezetője, illetve a rejtjelfelügyelő a honvédelmi szervezet vezetőjének átruházott hatáskörében eljárva utasítási joggal gyakorolja az őt megbízó vezető jogosítványait.
(7) Elektronikus adatkezelés esetén – a személyes adatok védelme érdekében – az adatvédelmi feladatokra kötelezett honvédelmi szervezet adatvédelmi felelőse a szükséges védelmi rendszabályokra vonatkozó követelményeket az elektronikusinformáció-védelmi felügyelőn keresztül érvényesíti.
Végrehajtói tevékenység
6. § (1) Az elektronikusinformáció-védelmi felügyelő tevékenységének támogatása érdekében az alkalmazott nemzeti, NATO, EU vagy egyéb két- és többoldalú nemzetközi kötelezettségvállaláson alapuló elektronikus adatkezelő eszközök, rendszerek elektronikus információvédelmi szakfeladatainak ellátására a feladat bonyolultságának függvényében szakbeosztást kell kialakítani vagy a feladatok ellátására alkalmas személyt (például központi vagy helyi rendszerbiztonsági felelős, kompromittáló kisugárzás elleni védelmi felelős, számítástechnikai titokvédelmi felelős) kell megbízni.
(2) A rejtjelfelügyelet vezetője, illetve a rejtjelfelügyelő tevékenységének támogatása érdekében a rejtjeltevékenységtől függően rejtjelező, vagy rejtjelező nyilvántartó beosztásokat kell kialakítani, vagy a feladatok ellátására alkalmas személyt kell megbízni.
Együttműködés és egyéb feladatok
7. § Az információvédelmi felügyeletet a titokvédelmi felügyelői, a biztonsági megbízotti, az elektronikusinformáció- védelmi felügyelői, az adatvédelmi felelősi, az iratkezelés felügyeletével megbízott vezetői, a rejtjelfelügyelői, és végrehajtói szintű összehangolt tevékenységek útján kell végrehajtani.
8. § (1) Ha a honvédelmi szervezet alaprendeltetéséből adódóan egy másik honvédelmi szervezet számára ügyviteli támogatást nyújt, vagy híradó, vagy informatikai üzemeltetési vagy üzemfelügyeleti feladatokat végez, a nyújtott szolgáltatáson belül felelős az információvédelmi rendszabályok érvényesüléséért.
(2) Az (1) bekezdés szerinti szolgáltatást nyújtó és alkalmazó honvédelmi szervezet az információvédelem hatékonysága érdekében köteles együttműködni.
9. § Több honvédelmi szervezetet érintő elektronikus adatkezelő rendszerek biztonsági és üzemeltetési feladataiban érintett szervezeti elem és személy az adatkezelő rendszerek biztonságos üzemeltetése érdekében közvetlenül köteles együttműködni.
10. § A biztonsági funkcióval kapcsolatos felelősséget, hatáskört és feladatokat, valamint az információvédelmi beosztásra, illetve megbízásra vonatkozó összeférhetetlenséget ezen utasítás illetve a honvédelmi szervezet Szervezeti és Működési Szabályzatában és egyéb belső rendelkezésében vagy parancsában kell meghatározni.
Szakirányítási feladatok
11. § (1) Az információvédelmi feladatok szakirányítására jogosult állami vezető (a továbbiakban: szakirányításra jogosult) felelős
a) a honvédelmi szervezetek adatkezelő rendszerei védelmének jogszabályokon, a NATO, EU biztonságpolitikán, nemzeti biztonsági stratégián, nemzeti katonai stratégián, valamint a támogató direktívákon és irányelveken alapuló normatív rendelkezésekben történő kidolgozásáért;
b) az információvédelmi tevékenység végrehajtásával kapcsolatban egyedi intézkedések kiadásáért, valamint döntésért (vagy döntés-előkészítésért) a nem szabályozott kérdésekben;
c) az információbiztonságra irányuló tevékenység szakirányításához szükséges információk kéréséért a honvédelmi tárcán belül és azon kívüli szervezetektől, valamint az arra jogosult hatóságok, nemzeti, NATO-, EU- vagy egyéb illetékes szervezetek tájékoztatásáért;
d) az információvédelmi szaktevékenységekre vonatkozó szakmai képzés felügyeletéért és a képzési követelmények meghatározásáért és a feltételek biztosításáért;
e) az adatkezelő rendszereket érintő kérdésekben nemzeti hatóságokkal, kormányzati szervekkel, NATO-, EU- vagy más nemzetközi biztonsági szervezettel való kapcsolattartásért,
f) az információbiztonságot érintő jogszabályok, illetve az állami irányítás egyéb jogi eszközeinek véleményezéséért, a honvédelmi tárca információbiztonságát érintő kérdésekben történő állásfoglalás kiadásáért.
(2) A szakirányításra jogosult az (1) bekezdésben meghatározott feladatait a Honvédelmi Minisztérium Szervezeti és Működési Szabályzata szerint az információvédelmi feladatok szakmai felügyeletére kijelölt honvédelmi szervezet (a továbbiakban: információvédelem szakmai felügyeletét ellátó honvédelmi szervezet) útján látja el.
A középszintű vezető szerv feladatai
12. § A középszintű vezető szerv vezetője szakmai felügyeletet gyakorol a vezetése alá tartozó honvédelmi szervezet adatok védelmére vonatkozó feladatai, illetve iratkezelési tevékenysége felett.
A honvédelmi szervezet információvédelmi feladatai
13. § (1) A honvédelmi szervezet információvédelmét – a helyi sajátosságoknak megfelelően – az információvédelem megvalósításáért felelős személyek, valamint a hadműveleti biztosító tiszt összehangolt tevékenysége útján kell megvalósítani.
(2) Az információvédelmi szaktevékenységgel kapcsolatos, a honvédelmi szervezet személyi állományát, illetve más természetes személyt terhelő kötelezettségeket munkaköri leírásokban, megbízási jogviszonyban álló személy esetén megbízási szerződésben kell rögzíteni.
(3) Ha a honvédelmi szervezetnél több elektronikus adatkezelő rendszer üzemel – a védelmi feladatok a helyi sajátosságoknak megfelelően, az összeférhetetlenség vizsgálata után – összevonva is elláthatók.
(4) Az adatkezelő rendszer biztonságáért és az üzemeltetéséért felelős személyek elektronikus információvédelmi feladatait rendszerspecifikus, illetve helyi biztonsági dokumentumokban kell meghatározni.
Az információvédelmi tevékenység szabályai
14. § (1) A honvédelmi szervezetekre vonatkozó információvédelmi tevékenységgel összefüggésben szabályozni kell a honvédelmi tárca
a) iratkezelési rendjét,
b) titokvédelmi, biztonsági követelményeit,
c) elektronikus információvédelmét és
d) rejtjeltevékenységének rendjét.
(2) A honvédelmi szervezet vezetőjének, illetve a Honvédelmi Minisztérium vonatkozásában a szakirányításra jogosultnak szabályozni kell a honvédelmi szervezet, illetve a Honvédelmi Minisztérium
a) iratkezelési tevékenységét,
b) titokvédelmi, biztonsági követelményeit,
c) rendszerspecifikus, illetve helyi biztonsággal összefüggő követelményeit,
d) adatvédelmének rendjét,
e) elektronikus iratkezelési rendjét.
Az adatok biztonsági osztályba sorolása
15. § (1) A honvédelmi szervezet vezetője, a Honvédelmi Minisztérium vonatkozásában a szakirányításra jogosult a honvédelmi szervezetnél, illetve a Honvédelmi Minisztériumnál az adatokat, az adatok bizalmassága szerint biztonsági osztályba kell sorolni. A biztonsági osztályba sorolás során figyelembe kell venni az adatvagyon méretét, megjelenési formáját és a rendelkezésre állásra vonatkozó követelményeket, az adatokra és adatkezelő rendszerekre irányuló fenyegetéseket és az általuk okozható kár mértékét, valamint a helyreállíthatóságot.
(2) Az adatokat a következő biztonsági osztályokba kell besorolni:
a) alap biztonsági osztályba kell sorolni a nem minősített adatot;
b) fokozott biztonsági osztályba kell sorolni a nem minősített nagy mennyiségű személyes adatot, a különleges adatot, az üzleti adatot, a címtáradatot az üzemeltetési adatot a magasabb szintű biztonsági követelmények alkalmazása érdekében;
c) korlátozott terjesztésű biztonsági osztályba kell sorolni a jogszabály szerint „Korlátozott terjesztésű” minősítésű adatot;
d) bizalmas biztonsági osztályba kell sorolni a jogszabály szerint „Bizalmas” minősítésű adatot;
e) titkos adat biztonsági osztályba kell sorolni jogszabály szerint „Titkos” minősítésű adatot;
f) szigorúan titkos adat biztonsági osztályba kell sorolni jogszabály szerint „szigorúan titkos” minősítésű adatot.
(3) A fenyegetettség, vagy sebezhetőség alapján az adatok az (2) bekezdésben meghatározottnál magasabb biztonsági osztályba sorolhatók.
(4) A biztonsági osztályokon belül a kezelési jelölések érvényesítése érdekében elkülönített biztonsági csoportokat kell kialakítani.
A kockázatok kezelése
16. § (1) Az adatkezelő rendszerekre vonatkozó kockázatkezelést a nemzeti ajánlások szerint kell végrehajtani. A NATO, EU adatkezelő rendszerei esetében a kockázatkezelés során a vonatkozó NATO-, EU-irányelveket is figyelembe kell venni.
(2) Adatkezelő rendszer létesítése esetén a kockázatelemzés és értékelés a hadműveleti vagy alkalmazói követelmények alapján a műszaki követelményeket meghatározó honvédelmi szervezet feladata.
(3) Az adatkezelő rendszer kockázatelemzési, -értékelési, és folyamatos kockázatkezelési feladatainak végrehajtásáért az adatkezelést végző honvédelmi szervezet vezetője a felelős.
(4) A kockázatelemzést
a) minősített adatokat kezelő rendszer, több szervezet által közösen használt vagy üzemeltetett rendszer, MH-szintű rendszer esetében kötelezően,
b) egyéb adatkezelő rendszerek esetében a NATO, EU, nemzeti elektronikus adatkezelésre feljogosított rendszerek felügyeletét ellátó hatóság, illetve az információvédelem szakmai felügyeletét ellátó honvédelmi szerv döntése szerint kell végrehajtani.
(5) A kockázatelemzés alapján szükségessé váló egyedi biztonsági követelményeket a rendszerspecifikus, illetve helyi biztonsági dokumentumban kell meghatározni.
(6) A kockázatelemzést az adatkezelő rendszer sajátosságainak, üzemeltetési környezetének figyelembevételével kétévente legalább egy alkalommal végre kell hajtani. Új kockázati tényező megjelenésekor a kockázatelemzést soron kívül el kell végezni.
(7) A kockázatok felmérésére és a maradványkockázatok kimutatására – elemzésből és az elemzéstől független ellenőrzésből álló – kétszintű eljárást kell alkalmazni.
(8) A fenyegetéseket, sebezhetőséget és az előfordulási valószínűséget rendszerszintű, általános kockázatelemzés esetében 1–5 közötti értékskála alkalmazásával, részletes vizsgálat esetén a használt módszertan szerinti szélesebb értéksála alkalmazásával kell megjeleníteni.
(9) A kockázatelemzés során meghatározott védelmi rendszabályokat, a maradványkockázatokat az adatkezelő rendszer biztonságáért felelős honvédelmi szervezet vezetőjének jóvá kell hagynia, az adatkezelő rendszer akkreditálása esetében jóváhagyás céljából az illetékes hatóságnak meg kell küldeni.
(10) A honvédelmi szervezet adatkezelésre vonatkozó kockázatelemzési adatai, a védelmi rendszabályok, valamint azok hatékonyságára vonatkozó ellenőrzési adatok mint döntés megalapozását szolgáló adatok nem nyilvánosak.
(11) A kockázatelemzésre vonatkozó dokumentációt az adatkezelő rendszer biztonsági dokumentumaival együtt kell kezelni.
A fizikai és környezeti biztonság
17. § (1) Az adatkezelő rendszer fizikai védelmét a kezelt adat biztonsági osztályának megfelelően, a funkcionális követelményekre épülő rendszabályok, valamint garantált minőségű technikai elemekből felépített biztonsági rendszerek alkalmazásával kell biztosítani.
(2) Az elektronikus adatkezelő rendszer üzemeltetése szempontjából kiemelt fontosságú elemeket, különösen a szervereket, vonalrendezőket, távbeszélő kapcsolókat, rejtjelező eszközöket tartalmazó létesítményeket funkciójukkal arányos, emelt szintű fizikai és üzemeltetésbiztonsági követelmények szerint kell kialakítani.
(3) Az adatkezelésre vonatkozó rendszabályokat az üzemeltetési környezet hőmérsékletre, páratartalomra, elektromágneses sugárzási és a működést kritikusan befolyásoló tényezőinek figyelembevételével kell meghatározni.
(4) A minősített adatok rejtjelezéssel történő védelmét megvalósító eszközöket, anyagokat, valamint a speciális kezelési jelöléssel ellátott minősített adatokat az egyéb rendszerelemektől, adatoktól el kell különíteni.
A személyi biztonság
18. § (1) Minősített adatot tartalmazó elektronikus adatkezelő rendszert az kezelhet, illetve üzemeltethet, továbbá minősített adat megismerésére az jogosult, aki
a) rendelkezik a minősítési szint szerinti nemzetbiztonsági ellenőrzéssel, illetve a személyi biztonsági tanúsítvánnyal,
b) titoktartási nyilatkozatot tesz,
c) írásban nyilatkozik arról, hogy a hozzáférési jogosultság megszerzése előtt az alkalmazással és védelemmel kapcsolatos rendszabályokat, eljárásrendet megismerte, és
d) rendelkezik az elektronikus adatkezelő rendszer biztonságáért felelős honvédelmi szervezet vezetője által engedélyezett hozzáférési jogosultsággal.
(2) Kizárólag nyílt, illetve nem nyilvános információkat tartalmazó elektronikus adatkezelő rendszert az kezelhet, illetve üzemeltethet, aki
a) írásban nyilatkozik arról, hogy a hozzáférési jogosultság megszerzése előtt az alkalmazással és védelemmel kapcsolatos rendszabályokat, eljárásrendet megismerte, és
b) rendelkezik az elektronikus adatkezelő rendszer biztonságáért felelős honvédelmi szervezet vezetőjének vonatkozó belső rendelkezésében meghatározott szintű vezető által engedélyezett hozzáférési jogosultsággal.
(3) Az elektronikus adatkezelő rendszer emelt szintű hozzáférési jogosultságára vonatkozó személyi biztonsági követelményeket – a nemzetbiztonsági ellenőrzés szintjéről szóló jogszabályokkal összhangban – a rendszer biztonságáért felelős szervezet vezetője rendszerspecifikusan határozza meg.
(4) Az (1)–(2) bekezdésekben foglalt feltételek teljesítése esetén a hozzáférési jogosultság csak a munkakör tényleges ellátásának idejére, vagy az adatkezelést igénylő feladat idejére rendelhető a feljogosított személyhez.
(5) A munkakör ellátásának szüneteltetésekor a hozzáférési jogosultságot fel kell függeszteni.
(6) Az (1)–(2) bekezdésekben foglalt feltételek hiányában a hozzáférési jogosultságot meg kell szüntetni.
19. § (1) A honvédelmi szervezet vezetője rendkívüli állapot idején, a 18. § (1)–(2) bekezdésében előírt feltételek fennállásának hiányában rendkívüli hozzáférési jogosultságot engedélyezhet annak a személynek, akiről megalapozottan feltételezhető, hogy személyével kapcsolatban biztonsági kockázati tényező nem áll fenn.
(2) A rendkívüli hozzáférés alapján megismert minősített adatokról jegyzőkönyvet kell készíteni. A szükséges biztonsági bevizsgálást az első lehetséges időpontban pótlólag le kell folytatni és a titoktartási nyilatkozatot ki kell töltetni.
20. § (1) Az elektronikus adatkezelő rendszer üzemeltetésével, fejlesztésével, karbantartásával, biztonsági felügyeletével és ellenőrzésével kapcsolatos hozzáférési jogosultságokat, valamint a felhasználói jogosultságokat az adatkezeléssel kapcsolatos visszaélések megelőzése érdekében el kell különíteni.
(2) Az elektronikus adatkezelő rendszerrel kapcsolatos üzemeltetési és a biztonsági funkciókat ugyanaz a személy nem láthatja el.
(3) Az adatok és adatkezelő rendszerek védelmi szakfeladatait végző személyek távolléte esetén a feladatok ellátására olyan személyt kell kijelölni, aki az előírt személyi biztonsági követelményeknek megfelel.
(4) Az elektronikus adatkezelő rendszer üzemeltetése szempontjából kiemelt fontosságú beosztás, munkakört, megbízást az elektronikus adatkezelő rendszert üzemeltető, vagy alkalmazó honvédelmi szervezet állományába tartozó személy láthat el.
(5) Ha az elektronikus adatkezelő rendszer üzemeltetéséhez a honvédelmi tárcán kívüli szervezet bevonása szükséges, a kiegészítő védelmi rendszabályokat a rendszer üzemeltetéséért felelős honvédelmi szervezet vezetője és az információvédelem szakmai felügyeletét ellátó honvédelmi szervezet vezetője együttesen határozza meg.
(6) A honvédelmi tárcán kívüli szervezetek állományába tartozó személyek elektronikus adatkezelő rendszerhez, illetve adathoz történő hozzáférés engedélyezése esetén a védelmi rendszabályokat az elektronikus adatkezelő rendszerekért, illetve kezelt adatokért felelős honvédelmi szervezet vezetője határozza meg.
A dokumentum biztonság
21. § (1) Az adatkezelő rendszer által kezelt adatoknak, iratoknak az adat-, iratkezelés minden fázisában – papíralapú és gépi adathordozó esetében egyaránt –biztosítani kell a biztonsági osztályba sorolásra vonatkozó védelmet.
(2) Az adattárolásra csak az arra kijelölt adathordozón kerülhet sor. Az adat adathordozóra történő felírására csak az adathordozó funkcionális működőképességének ellenőrzése, vírusvédelmi ellenőrzése, nyilvántartásba vétele, és a kezelési jelzések feltüntetése után kerülhet sor.
(3) Adatok törlését, adathordozók újrafelhasználását, vagy minősített adatok tárolására történő feljogosítás szintjének megváltoztatását, illetve adathordozók selejtezését, megsemmisítését a vonatkozó jogszabályok alapján, a tárolt adat biztonsági osztályának figyelembevételével kell végrehajtani.
Elektronikus információbiztonság
22. § (1) A kezelt elektronikus adatokkal és adatkezelő rendszerekkel kapcsolatos biztonsági célkitűzéseket a számítógép és hálózati biztonság, a hálózatok biztonságos összekapcsolása, a rejtjelbiztonság, az átviteli biztonság, és a kompromittáló kisugárzás elleni védelem, valamint a rendszerspecifikus fizikai, személyi és dokumentum védelmi rendszabályok kiegyensúlyozott alkalmazásával kell megvalósítani.
(2) Az adatkezelő rendszerrel összefüggésben a kockázatkezelést, a védelmi rendszabályok jóváhagyását, a biztonsági tesztelést, akkreditálást vagy jóváhagyást, az elektronikus adatkezelő rendszerrel kapcsolatos változások kezelését, a biztonsági dokumentumok naprakészen tartását, a védelmi rendszabályok időszakos felülvizsgálatát, az adatok és adatkezelő képességek ellenőrzését a rendszer teljes életciklusa során végezni kell, majd a rendszerből történő kivonáskor is alkalmazni kell a biztonsági osztály szerinti védelmi rendszabályokat.
(3) Az elektronikus adatok bizalmasságát, sértetlenségét és rendelkezésre állását, valamint az adatkezelő szolgáltatások és erőforrások sértetlenségét és rendelkezésre állását minimum védelmi rendszabályokkal kell biztosítani. Elektronikus adatkezelő rendszerben nem lehet az engedélyezettnél magasabb biztonsági osztályú adatot kezelni.
(4) Ha a kockázatelemzés során a kezelt adatok, az adatkezelő szolgáltatások, illetve erőforrások fokozott fenyegetettsége vagy sebezhetősége állapítható meg, kiegészítő védelmi rendszabályokat kell alkalmazni.
(5) NATO, EU és két- vagy többoldalú nemzetközi kötelezettségvállaláson alapuló minősített adatokat kezelő rendszerek adatkezelésre történő feljogosítása az illetékes hatóság jóváhagyása vagy akkreditálása alapján történik. A nemzeti minősített adatokat kezelő rendszereknek meg kell felelnie a minősített adathordozó őrzése érdekében a jogszabályokban rögzített követelményeknek.
(6) A nem kívánt események megelőzését, észlelését, bizonyítékok gyűjtését és a helyreállítási feladatok végrehajtását, valamint a biztonsági incidensek jelentésének és kezelésének rendjét az elektronikus adatok, adatkezelő rendszerek szolgáltatásainak és erőforrásainak bizalmassága, sértetlensége és rendelkezésre állása érdekében kialakított mechanizmusokkal és eljárásokkal kell biztosítani.
(7) Elektronikus adatkezelés esetén a megfelelő logikai elkülönítést biztosító eljárás hiányában az adat illetéktelen megismerésének elkerülése érdekében fizikai elkülönítést kell alkalmazni.
(8) Bizalmas vagy magasabb minősítésű elektronikus adatok kezelése esetén kompromittáló kisugárzás elleni védelmi rendszabályokat kell alkalmazni.
(9) Az elektronikus adatkezelő rendszerekben alkalmazott átviteli eljárásokat és biztonsági mechanizmusokat a kezelt adatok bizalmasságára, sértetlenségére és rendelkezésre állására vonatkozó követelmények szerint kell kialakítani.
(10) A nemzeti, NATO és EU elektronikus adatok és elektronikus adatkezelő rendszerek védelmét elsősorban azonos eljárásokkal, eszközökkel kell megvalósítani.
(11) Az elektronikus adatkezelő rendszer védelmi rendszabályainak kialakításához, fenntartásához és ellenőrzéséhez, rendszerből történő kivonásához szükséges technikai eljárásokat (például: ellenőrző mérések, tesztek) a megfelelő képességekkel rendelkező honvédelmi szervezettel kell végrehajtatni. Megfelelő képességekkel rendelkező honvédelmi szervezet hiányában az egyes technikai eljárások lefolytatására az illetékes hatóság által akkreditált, engedélyezett szervezetet kell felhatalmazni.
Záró rendelkezések
23. § (1) Ez az utasítás 2010. január 1-jén lép hatályba, ezzel egyidejűleg hatályát veszti az elektronikus információvédelemről szóló 33/2002. (HK 13.) HM utasítás és az egyes HM utasítások módosításáról és hatályon kívül helyezéséről szóló 45/2007. (HK 10.) HM utasítás 42. §-a.
(2) Ezen utasítás hatálybalépését követően létesített nemzeti minősített elektronikus adatkezelő rendszerek esetében a kompromittáló kisugárzás elleni védelmi rendszabályokat a NATO-követelmények alapján kell meghatározni.
- Hatályos
- Már nem hatályos
- Még nem hatályos
- Módosulni fog
- Időállapotok
- Adott napon hatályos
- Közlönyállapot
- Indokolás